昨天写累了,今天继续。这篇又是在飞机上完成的。
腾讯之行见了一些朋友,聊了很多,也让我对以前的一些想法更清晰了。
我在闭门会议里抛了一个有点惊世骇俗的观点:
有什么公司是因为黑客入侵而走向衰落的?拍拍脑袋,几乎都找不到一家。
—- 吓死你们这些玩安全的。
当时为了讲我的主题,所以对这个观点的解读不够深刻,现在我展开讲讲我都想到了些什么。
我这个问题是针对所有做“反黑客”的公司来说的,他们是售卖各种入侵检测产品、扫描器、安全评估服务。
(DDOS我没有包含在内,因为DDOS确实是刚需,而且是拼钱的。以前我做的一个很成功的论坛“幻影”就是被DDOS搞死的,当时一群穷学生什么都不懂,也没钱找能抗D的机房。业内的权威社区xfocus也被DDOS打过很长一段时间,打到差点关站。)
所以就“反黑客”这件事情来说,黑客把网站黑了又如何?
CSDN被拖库了,现在还活的好好的。Evernote被拖库了,Linode被拖库了,道个歉就完了,该咋样继续咋样,大家还得用它。网站被黑客入侵了,So What?
公司走向衰落可能有各种各样的原因,但是极少有因为黑客入侵而直接走向衰落的。那么对这些公司而言既然无损业务,凭什么要重视安全?
所以我的疑问是:假如这些网站被黑了后,仍然该干啥就干啥,甚至还越活越滋润,那你们整天为之奋斗的事业意义何在?
估计很多行业内的朋友看到这里要流冷汗了。别急,且待我把个脉。
我讲几个事情。
1. 以前有一家叫“港湾”的公司,做网络设备的,据说就是因为被人雇佣黑客偷了核心代码,而死掉了。当然这件事情的真实性不可考证,而且涉及到另一家令人尊敬的公司,不敢妄言。但就这个案例来看,在软件时代,黑客入侵可以直接导致一家公司走向没落。
2. 在淘宝的时候,有人跟我说就算今天有人把淘宝的代码全部给拖走了,也搭不起来(几百G、上T的源代码)。就算搭起来了,也无法做出第二个淘宝。 —- 在互联网时代,代码的重要性远远的降低了。
3. 据说马云在看到三鹿奶粉因为三聚氰胺事件而垮掉后,明白了安全的重要性。
所以,安全对于一家公司来说重不重要,需要结合场景来看。
在公司规模还不大的时候,如果遭遇黑客入侵,打击可能是毁灭性的。昨晚我就接到了客户的紧急求助,创业公司还是经不起折腾,要是被黑客多玩两次,可能就玩完了。
在市场充分竞争时,如果遭遇黑客入侵,可能会导致用户流向竞争对手。这点应该很容易理解吧,昨天的文章里也提到了腾讯的态度就是如此。benjurry后来在微博上回复:我记得pony(马化腾)是这么说的:“我们所遭遇的安全问题,其他竞争对手也必然会遇到,那时候,安全就会成为我们的壁垒。”
一些对安全比较敏感的行业,会对黑客入侵比较重视。比如支付宝、云计算等,如果出现一次黑客事件,用户可能就不再信任了,而会去寻求其他替代者。支付宝对安全的品牌形象就非常敏感,有兴趣的朋友可以去尝试发个文测试下支付宝的反应。
所谓的“黑客入侵对公司无影响”其实是个伪命题,因为安全问题而流失的客户数很难准确的统计出来,也没有一家机构站在第三方的角度统计过。
但话又说回来了,从结果看,因为“黑客入侵”导致公司走向衰落的情况确实很少。这些不幸的公司,最后或者加大了安全投入,找到了解决方案;或者是靠公关把负面新闻给和谐了;或者是用户们选择了健忘,依然好好的活着。对于他们来说,每天要面临的“业务安全”问题,可能比虚无缥缈的“黑客入侵”要来的更加实在和具体。
让马云担心的“三聚氰胺”问题,正是业务安全问题。支付宝曾一度有野心把反欺诈的解决方案推广成行业标准,如果阿里单独成立个安全公司来搞搞,也许还有点搞头。
在过去,业务安全问题因为其复杂性与个性化,很难有统一的解决方案。所以安全公司一般都只做“反黑客”而几乎不做“业务安全”,这其实是捡了芝麻丢了西瓜。
所以,我看到的未来,可能会出现一些商业上能取得成功的案例,以创业公司或者是开源的、不开源的软件的方式,解决业务安全问题。会涉及到反诈骗、反钓鱼、anti-spam、anti-abuse、刷票、刷粉、秒杀、垃圾注册等诸多领域。
—— 我是万恶的分割线 ——
最近DoNews社区对我作为“道哥的黑板报”的host,进行了一次采访,点击“阅读原文”可以查看这篇文章。
照片是我本人,是去年在千岛湖附近拍的。
======
本文内容来自微信公众账号:道哥的黑板报。微信ID:taosay。转载请注明出处。
摘录部分评论:
lin 四 23, 2013 下午 9:39
刺总,淘宝已经在做业务安全的事情了。虽然现阶段有困难,但是会继续前进的。
Reply buy 四 23, 2013 下午 10:04
认识的某人入侵某游戏公司长期刷库几年把人家刷倒闭掉.
还有几个把好几家购物站刷倒闭掉,各种截单拿数据.然后数据转N手给各种骗子回访等.终于刷到那公司一天不到几十单而倒闭掉。还有等等好多就不说了,话说知道太多会被抓杀灭口的。
Reply囧窘 四 24, 2013 上午 9:46
说的有道理,我觉得对公司来说业务涉及的是否合理往往要比算法选择的是否抗破解更重要。在网上报道过有人对公交卡私自充资的事件,但是基于算法破解的却很少,很多是钻的业务漏洞。而,很多人都不太深研算法,觉得她很神秘,觉得她是最重要的,一旦出了问题应该是算法出了漏洞。
ReplyMaizero四 23, 2013 下午 11:43
期待淘宝的业务安全能做出点名堂,让我们这些用户更为受益。
非常认同刺总最后那句“所以安全公司一般都只做“反黑客”而几乎不做“业务安全”,这其实是捡了芝麻丢了西瓜”,说出了我的心声,包括甲方,如果只关注技术安全,不关注业务流程安全,是不行的。其实这就是那天会上强烈想表达的。关于淘宝业务安全这个事情,很早源于自己的一次经历曾经反馈过,不过当时“道行”还不够深,没有上升到探讨业务安全这个高度,但是最近给客户做风险评估,提到基于资产还是基于业务流程来做的区别,找了当年淘宝被坑(我一直不承认那是被骗或钓鱼!我丢不起这人~)的经历,但却引发激烈的讨论,甚至有“老鸟”认为,安全公司就是做IT安全的,不可能触碰太多“业务安全”的东西,讨论见链接,有兴趣可以去参加拍砖
http://bbs.cisps.org/viewtopic.php?f=71&t=34137
Reply ctm 四 25, 2013 下午 6:02
吴翰清先生好帅。另外感觉贵圈的门槛好高,如果技术不是很好的话根本不能和你们搭话。吴翰清先生能否推荐一些贵圈中好说话并且愿意和菜鸟交流的大牛呢,万分拜谢。
Reply linf 五 3, 2013 下午 12:23
道哥05年进阿里,文中所述打杂七年,那应该是今年离开的,希望以后能和道哥多多交流
Reply zhi 五 10, 2013 上午 9:41
老师在讲电子商务很无聊,一个阿里巴巴激励多少人关注电商,多少高校开电商课。想做白日梦发财而不考虑可行性和自己的兴趣。
Reply niao 五 12, 2013 下午 1:58
权利是用来保卫利益 而非获取利益
核总点评:
刺总文中的分析很片面……
首先,“没有一家因黑客入侵而导致倒闭的” 从而推导出 “黑客入侵对公司无影响”,这个思路本身就是个错误的!
“没有”,并不代表“不能做到”,而是取决于“有没有这个必要去做”!
为什么这样说呢,首先从“黑客事件”的性质来谈一谈……
本文评论已写成单独文章,详见:“黑客打倒大型跨国公司,大型财团/商业集团/政治阴谋,发动大规模网络战争”
相关内容:
地球Online,你是玩家还是NPC?不要被传统观念所束缚!做真正的玩家!
留言评论(旧系统):